CityCat4

Хм... а мы про чей NAT говорим? Что-либо организовать можно только тогда, когда есть способ воздействия на организатора (либо когда ты сам организатор). Просто сторонний дядя тебя пошлет.

Берется лист бумаги. На нем рисуются все устройства и проставляются все подсети. Потом берутся олиферы и читается та глава, где про роутинг. Потом знания из олиферов применяются для анализа "что я делаю не так?"

МГТС скорее всего не даст ничего никуда завести кроме как в свое оборудование, которое сдаст в аренду и соответственно рутового доступа у Вас не будет. И все равно нужен будет роутер, чтобы такую обьемную сеть отделить нафиг от любопытных глаз :)

Не надо так делать. На фото - вроде бы не поврежден, хотя я бы тестером проверил. Но Вы так непременно его повредите, причем это будет самое неудобное для прокладки место :) Для дишманского крепления кабеля есть площадки и на шурупах и самоклейка - площадка крепится к несущей поверхности, через головку проходит стяжка, которая крепит кабель. Тупо, просто, надежно, некрасиво.

Без содействия или с явным противодействием оператора микротика 2 - никак. При содействии - VPN на микротик 1, причем микротик 2 должен устанавливать соединение, а микротик 1 - его только принимать, потому как микротик 1 сам к микротику 2 не пробьется никак от слова совсем.

Не поверишь - роутером :) В достаточно заурядном микротике RB4011 есть SFP порт, в который втыкается соответствующий модуль (желательно тоже микротиковский ну или SNR на худой конец, но не GigaLink!), в который приходит оптика. И все :) В микротике - порт, у порта настройки :)

если мне нужна сетевуха на 4 гигабитных порта, то где взять не интель, а какие-нибудь хуиваи, но за 2к?

Обычно на вопрос "а где" отвечают либо "в Караганде", либо более коротким вариантом из пяти букв :) Четырехпортовая сетевуха - узкоспециализированный серверный продукт, в тех областях, где она используется, цена очень часто имеет даже не вторичное, а десятеричное значение :)
Двухрублевый пятипортовый роутер - соховское гумно, способное только ютубчик показывать для невзыскательного юзера.

PPPoE обычно использует провайдер для учета трафика, чтобы проще было банить. Роутер, нужное количество свитчей, dhcp раздает на роутере

Все настройки обычно провайдер отдает по DHCP. Хотя если попался такой, который не отдает, возможно и придется, в таком случае придется обратиться в саппорт.

Простых способов блокировки рекламы - их вообще нет.

Почувствуй себя Роскомнадзором :)

Можно:
- блокировать по IP-адресу (если знаешь, конечно же, для чего нужно предварительно страницы анализировать)
- блокировать по имени (то же самое, можно позвращаться с файлом hosts или поднять свой сервис DNS, где на "нужные" имена тупро прописывать 127.0.0.1
- понаставить AdBlock или его аналоги

Если звезды зажигают - значит это кому-нибудь нужно (С) В.В. Маяковский

Если IKE переходит на 4500 - значит где-то есть NAT-T. Запретите его (если удастся) - и туннеля не будет :)

Конечно может. И тогда подерутся :) Ну в смысле начнется конфликт устройств, который будет выражаться в том, что сеть "то работает, то не работает" (это если оба устройства включены одновременно). Если же они по времени не пересекаются - то даже и работать будет :)

За провайдерским натом - десятки тысяч. У нас больше сотни юзеров и все пользуют гугл и никто никогда не жаловался на проблемы :)

Никак. И незачем.

Сертификаты - не нубская тема и никогда ею не будет. Любая железка умеет самоподписанный генерить - нафиг не нужно на нее ставить генереный - это только гемору добавляет и свитч повесить может. Да и процедура установки сертификата на разные свитчи сииильно друг от друга отличается.

Ставить генереные сертификаты - это разве что от желаения ходить на железки по красивому имени "switch1-1-1.zhopa.ruchka", а не по адресу - в противном случае смысла нет. А для красоты - все свитчи сначала в DNS нужно занести, поддерживать его. Да, этим можно заняться, если нечем больше

/ip firewall nat
add action=dst-nat chain=dstnat comment="Allow any to our webserver" dst-address=1.2.3.4 dst-port=\
    80,443 in-interface=ether1 protocol=tcp to-addresses=10.4.1.1

Вот как-то так.
Читается так - "если пакет пришел на IP 1.2.3.4, на порт 80 или 443 через интерфейс ether1, то пробросить его на адрес 10.4.1.1 на тот же порт"

Ну, роутер с модемом - вполне себе стандартная конфигурация. Но имейте в виду - организация нормального подколючения - это не три копейки.
Это хороший роутер с множество настроек - лучше всего микротик, можно кинетик, там настроек поменьше, но морда подружественнее.
Это хороший модем же с отводом под внешнюю антенну на крыше и собственно сама антенна, а также довольно долгий и ужасно нудный процесс юстировки оной на максимум сигнала
И в результате мы все равно получаем канал "по воздуху" со всеми его нестабильностями и недостатками :)

Вам провайдеру не заявку надо подавать, а попросить просчитать стоимость подключения Вас, любимого. За Ваш счет провайдер дотянет до Луны - просто стоить это будет огого.

после чего, я полагаю, возможно произошёл скачек напряжения

...после чего роутер тупо сгорел, тем более D-Link, которые пачками после грозы меняются. Не мучай животинку, поменяй.

что прописывать в ip, маске и шлюзе

А Вы, простите, кто? Админ? Или постороннее лицо? Админ должен знать, что ему туда прописывать. А постороннему туда соваться не стоит.

Такое приложение называется "системный администратор" :) Потому что он все это должен знать и иметь средства мониторинга инфраструктуры - nagios, zabbix...
Сеть на микротиках можно мониторить через The Dude.